Специалисты Qihoo 360 Total Security предупредили о новой вредоносной кампании по распространению майнера WinstarNssmMiner, который только за три дня наблюдений заразил порядка 500 000 машин.
WinstarNssmMiner представляет собой обычную для наших дней майнинговую малварь, построенную на основе опенсорсного и легитимного майнера криптовалюты Monero XMRig. К сожалению, специалисты не пишут о том, как именно распространяется новая угроза, но говорят, что WinstarNssmMiner имеет ряд уникальных черт, отличающих его от другой подобной малвари.
Так, после заражения WinstarNssmMinerищет ищет в системе процессы защитных решений Avast или «Лаборатории Касперского». Если таковые были обнаружены, майнер сворачивает активность и прекращает работу. Если же защитных решений нет, малварь запускает два процесса svchost.exe, один из которых является скрытым майнером. Второй svchost.exe продолжает «присматривать» за другими антивирусными процессами и может попытаться ликвидировать их, чтобы избежать обнаружения.
Кроме того, WinstarNssmMiner может преподнести неприятный сюрприз пользователю, который все же его обнаружит. Так, при попытке избавиться от вредоносного svchost.exe, малварь спровоцирует отказ в работе системы, вынудив жертву перезагрузить компьютер. Дело в том, что вредоносный процесс майнера получает в системе пометку CriticalProcess, поэтому Windows экстренно завершает работу, если данный процесс ликвидировать.
По данным исследователей, группировка, создавшая WinstarNssmMiner, в настоящее время заработала 133 Monero, что по текущему курсу равняется примерно 26 000 долларов США.
Анализ
Специалисты антивируса удивлены, увидев, что CryptoMiner может быть настолько жестоким, чтобы использовать компьютеры жертв, приняв методы упорных вредоносных программ:
1. Запускает системный процесс svchost.exe и вводит в него вредоносный код.
2. Настраивает атрибут порожденного процесса на CriticalProcess.
3. Компьютеры дают сбой, когда их владельцы прекращают вредоносное ПО.
После попадания в компьютеры жертв это вредоносное ПО пытается найти какое-либо достойное антивирусное программное обеспечение, такое как Kaspersky. Если обнаружено какое-либо , это вредоносное ПО автоматически остановится, чтобы избежать прямой конфронтации.
Затем это вредоносное ПО будет вводить код в созданный файл svchost.exe. На самом деле существует два процесса svchost.exe. Один выполняет задачи майнинга. Другой работает в фоновом режиме для обнаружения антивирусной защиты и предотвращения обнаружения.
Хотя WinstarNssmMiner имеет возможность обмануть антивирусное программное обеспечение, он по своей природе по-прежнему является CryptorMiner'ом, и его реализация основана на проекте с открытым исходным кодом XMRIG. Он поставляется с четырьмя пулами майнинга и можно определить пул майнинга по параметрам, переданных ему.
Этот CryptoMiner уже получил 133 Monero, что примерно стоит 28000 долларов США.
Из-за характера майнинга цифровой валюты CryptoMiners используют ресурсы процессора жертв для своих дистрибьюторов. Некоторые опытные пользователи могут идентифицировать и прекращать использование процессоров. Следовательно, WinstarNssmMiner защищает себя, настраивая атрибут своего процесса на CriticalProcess, чтобы зараженные компьютеры дали сбой, когда пользователи завершают его.
Соответствующий хэш файла в MD5
«184001cbd326cb3c03987c350c3ada6a
cf3e0eaf26c74db2bb5f8ba7e2607e2f
0be8a2b5f8a2fc9ad74d8ab9fcf5f583»
Напоминание
Настоятельно рекомендуем пользователям включать антивирусное программное обеспечение при установке новых приложений. Пользователям также рекомендуется запускать проверку на вирусы с помощью антивирусов, чтобы не стать жертвой CryptoMiner.